Voltar ao blog

A Lei de IA da UE entra em vigor em 2 de agosto de 2026: o que muda para web scraping e coleta de dados

Até 2 de agosto de 2026, resta um mês — a EU AI Act obtém poderes para multar. As recusas TDM legíveis por máquina e o robots.txt ganham peso no direito autoral pela primeira vez, os provedores de modelos de IA são obrigados a divulgar as fontes de treinamento, as multas podem chegar a €15 milhões ou 3% do faturamento. Vamos analisar quem isso realmente afeta e como agora coletar dados de forma adequada.

📅30 de junho de 2026
A Lei de IA da UE entra em vigor em 2 de agosto de 2026: o que muda para web scraping e coleta de dados
```html

Até 2 de agosto de 2026, resta cerca de um mês — e é exatamente nesse dia que o AI Act Europeu deixa de ser um regulamento "papel" e ganha poderes reais para aplicar multas. Para todos que coletam dados na internet — desde o treinamento de grandes modelos até a simples monitorização de preços — este é um marco, após o qual as proibições de coleta de dados em formato legível por máquina ganham pela primeira vez peso de direitos autorais, e os provedores de modelos de IA são obrigados a divulgar em que foram treinados. Vamos analisar o que exatamente muda e quem isso afeta na prática.

O que entra em vigor em 2 de agosto de 2026

O AI Act da UE foi introduzido em etapas. As práticas proibidas tornaram-se inaplicáveis já em fevereiro de 2025, e as obrigações para provedores de modelos de propósito geral (GPAI — inteligência artificial de propósito geral) entraram formalmente em vigor em 2 de agosto de 2025. Mas é exatamente em 2 de agosto de 2026 que o regulamento se torna totalmente aplicável: entram em vigor os requisitos para sistemas de alto risco e, mais importante, o regulador ganha poderes para multar por não conformidade com as obrigações do GPAI.

O valor das sanções é o seguinte:

  • até €35 milhões ou 7% do faturamento global — por práticas proibidas (o que é superior);
  • até €15 milhões ou 3% do faturamento global — por violações relacionadas a sistemas de alto risco e obrigações do GPAI;
  • até €7,5 milhões ou 1% do faturamento — por fornecer informações falsas ao regulador.

A aplicação do regulamento é extraterritorial: as obrigações se aplicam ao provedor independentemente de sua localização, se o modelo é disponibilizado no mercado da UE. Uma empresa de IA americana ou asiática, cujo produto está disponível para europeus, está sujeita às mesmas regras.

O que os provedores de GPAI devem fazer

Existem três obrigações principais, e duas delas estão diretamente relacionadas à coleta de dados:

  • Documentação técnica — descrição da arquitetura do modelo, metodologia e recursos de treinamento, disponível para órgãos de supervisão e desenvolvedores subordinados.
  • Resumo público dos dados de treinamento — o provedor deve publicar uma descrição "suficientemente detalhada" do conteúdo em que o modelo foi treinado, de acordo com o formato fornecido pelo AI Office. Esta é a primeira tentativa no mundo de obrigar os desenvolvedores de modelos a relatar publicamente as fontes de dados.
  • Política de respeito aos direitos autorais — o provedor deve respeitar os mecanismos de recusa de text-and-data-mining (TDM) conforme o artigo 4 da Diretiva de Direitos Autorais 2019/790, incluindo sinais legíveis por máquina.

Para modelos com risco sistêmico (limite de treinamento de 10^25 FLOPs), são adicionados testes adversariais e relatórios obrigatórios sobre incidentes. Os modelos já existentes no mercado têm um prazo — devem estar totalmente em conformidade até 2 de agosto de 2027.

robots.txt ganha "peso" de direitos autorais

A principal mudança para a indústria de coleta de dados está escondida exatamente na exigência de direitos autorais. Antes, o arquivo robots.txt era um acordo de cavalheiros: ignorá-lo violava as regras do site, mas não era considerado uma violação da lei por si só. Agora, sob a proteção do artigo 4 da Diretiva 2019/790, a reserva de direitos legível por máquina — robots.txt, o novo padrão ai.txt, sinais de TDM — adquire peso de direitos autorais. O titular dos direitos que expressou a recusa de data mining de forma legível por máquina está, de fato, protegido por direitos autorais contra o uso de seu conteúdo para treinamento.

Para padronizar esses sinais, a Comissão Europeia lançou uma consulta sobre protocolos de reserva de direitos: o objetivo é chegar a um formato legível por máquina que seja reconhecido como "estado da indústria" e amplamente aceito pelos titulares de direitos. Em outras palavras, a UE está construindo uma linguagem juridicamente significativa de recusa de scraping para treinamento de IA.

Contexto: plataformas já estão atacando

O regulamento se aplica a um mercado que já estava acirrado. Em julho de 2025, Cloudflare, que protege cerca de 20% da web, tornou-se o primeiro provedor de infraestrutura a bloquear por padrão os crawlers de IA para todos os novos domínios — agora, o proprietário do site precisa explicitamente permitir bots específicos. Até agosto de 2025, mais de 2,5 milhões de sites proibiram completamente o uso de seu conteúdo para treinamento de IA; apenas o GPTBot é bloqueado por cerca de 19% dos sites. Entre os crawlers mais bloqueados estão GPTBot, ClaudeBot, CCBot, Google-Extended e Bytespider.

Ao mesmo tempo, a discrepância é colossal: segundo dados do Cloudflare, bots de IA acessam cerca de 39% dos top 1 milhão de recursos da rede, mas apenas 2,98% deles realmente bloqueiam ou desafiam tais solicitações. Paralelamente, o Cloudflare lançou o modelo Pay Per Crawl — o site responde aos bots com "402 Payment Required", e as empresas de IA pagam pelo acesso. A coleta de dados de um "tudo permitido" gratuito se transforma em um mercado com preço.

O front jurídico não fica para trás. O Reddit processou a Perplexity AI e seus coletores e provedores de proxy associados (SerpApi, Oxylabs, AWMProxy), e seu principal advogado formulou a essência do conflito de forma contundente: "As empresas de IA estão presas em uma corrida armamentista por conteúdo humano de qualidade, e essa pressão gerou uma economia de escala industrial de lavagem de dados". Ao mesmo tempo, o Reddit firmou acordos de licenciamento com a OpenAI e o Google — ou seja, os dados são vendidos para quem paga, e aqueles que os coletam gratuitamente são perseguidos. O LinkedIn, em uma ação separada, acusou a empresa ProAPIs de criar cerca de um milhão de contas falsas para scraping e revenda de perfis por preços de até $15.000 por mês.

O que isso significa para quem coleta dados

A primeira e mais importante coisa — sem pânico. O AI Act da UE não proíbe o web scraping como tal e não transforma a coleta de dados públicos em um crime. O regulamento atinge diretamente os provedores de modelos de IA e sistemas de alto risco. Se você está monitorando preços de concorrentes, coletando dados para análise de SEO, verificando resultados ou agregando avaliações públicas, você não se torna um "provedor de GPAI" e não está diretamente sujeito às novas obrigações.

Quem realmente é afetado pelo Act

Estão sob ataque aqueles que treinam ou re-treinam grandes modelos com dados coletados e os disponibilizam no mercado da UE. Para eles, a publicação do resumo dos dados de treinamento e o respeito às recusas de TDM tornam-se requisitos legais com multas reais. Se seu scraping é um elo na cadeia de treinamento do modelo, as fontes precisarão ser documentadas, e as proibições legíveis por máquina deverão ser respeitadas.

Como coletar dados de forma adequada

O segundo efeito — indireto, mas que afetará a todos. Quanto mais peso jurídico as recusas legíveis por máquina ganham e quanto mais agressivas as plataformas bloqueiam o tráfego automático, mais alta será a barra para qualquer coleta de dados. Conclusões práticas:

  • Leia robots.txt e sinais de TDM e tome decisões conscientes com base neles. Ignorar a recusa legível por máquina agora é não apenas um risco de banimento, mas também uma potencial questão de direitos autorais, especialmente se os dados forem usados para treinar um modelo.
  • Separe as tarefas. A coleta de fatos públicos (preços, disponibilidade, classificações) e a cópia de conteúdo protegido por direitos autorais para treinamento são coisas juridicamente diferentes. Estruture os processos de forma a não misturá-los.
  • Minimize a carga e não se disfarce de usuário real onde isso possa causar confusão. A história de um milhão de contas falsas do LinkedIn é um exemplo claro de como métodos "cinzentos" se transformam em processos judiciais.
  • Use infraestrutura de acesso legal. Quando a coleta de dados é distribuída e feita a partir de IPs de usuários reais, ela cria menos carga em um único nó e não parece um ataque de um único data center. Proxies residenciais fornecem tráfego indistinguível de um usuário comum, enquanto para tarefas de alta carga, onde não é necessária a máxima "humanidade", proxies de data center mais rápidos são adequados.

É importante também considerar o quadro geral do tráfego: já discutimos como bots superaram humanos na internet pela primeira vez — essa mudança é o que leva as plataformas a se fecharem. E para o trabalho prático com plataformas específicas, nosso guia sobre scraping seguro do X (Twitter) sem bans é útil: os mesmos princípios — respeitar as limitações, distribuir as solicitações, usar IPs confiáveis — funcionam na nova realidade regulatória.

Conclusão

2 de agosto de 2026 não é o "fim do scraping", mas um ponto após o qual a coleta de dados se divide definitivamente em duas trilhas. A coleta documentada, que respeita as recusas legíveis por máquina e trabalha com dados públicos — torna-se a norma e a proteção. A coleta oculta, que contorna proibições explícitas e se disfarça de usuários para treinar modelos — corre o risco de multas de até €15 milhões ou 3% do faturamento e ações judiciais das plataformas. O AI Act da UE não fecha a porta — ele transforma a coleta de dados de um "campo selvagem" em um modo onde as regras finalmente têm preço. E ganham aqueles que reestruturarem seus processos com antecedência, e não uma semana antes do prazo.

```